防火墙的5个特点IT专业人员应该知道，但可能不知道

作为一种基本的网络防御，防火墙不断被新特性增强，以至于一些重要的特性被忽略了。

通过宙斯Kerravala

足球竞猜app软件 |

CSO >安全机制与激烈的威胁 — Matejmo / Getty Images

防火墙通过整合独立设备的功能，拥抱网络架构的变化，并集成外部数据源来为它们所做的决策添加智能，不断地演变为网络安全的主要部分——这是一个难以跟踪的巨大的可能性财富。

由于这种丰富的特性，下一代防火墙很难完全掌握，重要的功能有时可能被忽视，在实践中也是如此。

以下是IT专业人士应该注意的一些新特性。

网络市场细分

将单个物理网络划分为多个逻辑网络称为网络市场细分其中每个段的行为就像它在自己的物理网络上运行一样。来自一个段的流量不能被另一个段看到或传递。

这大大减少了攻击面在事件的突破。例如，一家医院可以将其所有的医疗设备放入一个部分，将其病人记录放入另一个部分。然后，如果黑客破坏了一个没有得到妥善保护的心脏泵，他们将无法访问私人病人信息。

重要的是要注意到许多相互关联的事物组成了物联网拥有较老的操作系统，本身就不安全，可以作为攻击者的切入点，因此物联网的增长及其分布式的性质，提高了对网络分割的需求。

策略优化

防火墙策略和规则是使防火墙运行的引擎。大多数安全专家都害怕删除旧的策略，因为他们不知道这些策略是什么时候出现的，为什么会出现。结果，规则不断增加，却没有考虑减少总数量。一些企业表示，他们已经制定了数百万条防火墙规则。事实是，太多的规则增加了复杂性，可能会相互冲突，而且管理和故障排除非常耗时。

策略优化将遗留的安全策略规则迁移到基于应用程序的规则，这些规则允许或拒绝基于所使用的应用程序的流量。这通过减少攻击面提高了整体安全性，还提供了安全启用应用程序访问的可见性。策略优化标识了基于端口的规则，因此可以将它们转换为基于应用程序的白名单规则，或者将基于端口的规则中的应用程序添加到现有的基于应用程序的规则中，而不会影响应用程序的可用性。它还标识了配置过多的基于应用程序的规则。策略优化有助于优先选择要首先迁移的基于端口的规则，识别允许未使用的应用程序的基于应用程序的规则，并分析规则使用特征，如命中次数，比较特定规则的应用频率和所有规则的应用频率。

将基于端口的规则转换为基于应用程序的规则可以改善安全状况，因为组织可以选择他们想要列入白名单的应用程序，并拒绝所有其他应用程序。这样就可以从网络中消除不需要的和潜在的恶意流量。

Credential-theft预防

过去，员工从公司办公室访问公司应用程序。如今，他们可以从办公室、家里、机场和任何他们可能在的地方访问遗留应用程序、SaaS应用程序和其他云服务。这使得威胁行动者更容易窃取凭证。Verizon资料泄漏调查报告发现81%的与黑客相关的入侵利用了被盗和/或弱密码。

防止证书被盗功能阻止员工在Facebook和Twitter等网站上使用企业证书。即使它们可能是批准的应用程序，使用公司证书访问它们也会使业务处于风险之中。

证件盗窃防范工作是通过扫描用户名和密码提交到网站，并将这些提交的文件与公司的官方证件清单进行比较。企业可以选择哪些网站允许提交企业凭证或根据网站的URL类别阻止他们。

当防火墙检测到用户试图向某个受限制的类别中的站点提交凭据时，它可以显示阻止用户提交凭据的块响应页面。或者，它可以提供一个continue页面，警告用户不要向某些URL分类的站点提交凭据，但仍然允许用户继续提交凭据。安全专业人员可以定制这些阻止页面，以教育用户不要重用公司凭证，即使是在合法的、非钓鱼网站上。

DNS安全

机器学习、分析和自动化的结合可以阻止利用域名系统(DNS)。在许多企业，DNS服务器是不安全的，完全开放的攻击，将用户重定向到不良网站，在那里他们被钓鱼和数据被盗。威胁行动者在基于dna的攻击中有很高的成功率，因为安全团队对攻击者如何使用该服务来维持对受感染设备的控制知之甚少。有一些独立的DNS安全服务比较有效，但是缺乏足够的数据来识别所有的攻击。

当DNS安全集成到防火墙中时，机器学习可以分析大量的网络数据，使得独立的分析工具变得没有必要。集成到防火墙中的DNS安全可以通过自动化和发现恶意域的实时分析来预测和阻止恶意域。随着坏域数量的增长，机器学习可以快速找到它们，并确保它们不会成为问题。

集成的DNS安全性还可以使用机器学习分析来消除DNS隧道，该隧道通过将数据隐藏在DNS请求中通过防火墙走私数据。DNS安全系统还可以发现恶意软件命令和控制服务器。它构建在基于签名的系统之上，以识别高级隧道方法，并自动关闭dns隧道攻击。

动态用户组

可以创建自动修复工人异常活动的策略。基本前提是用户在组中的角色意味着他们的网络行为应该是相似的。例如，如果一名员工被钓鱼，而且安装了奇怪的应用程序，这将会引起注意，并可能意味着违规。

从历史上看，隔离一组用户是非常耗时，因为该组的每个成员必须得到解决和政策单独执行。有了动态的用户群体，当防火墙看到一个异常它创建反击anomoly政策，并推动他们到用户组。整个组，而无需手动创建并提交策略自动更新。因此，例如，在所有的会计人会自动手动，一次一个收到相同的策略更新，一次，而不是。与防火墙集成使防火墙为用户组的策略分发到所有需要它包括其他防火墙，日志收集器或应用程序的其他基础设施。

防火墙一直是并将继续是网络安全的支柱。它们是第一道防线，可以在它们渗透到企业网络之前阻止许多攻击。将防火墙的价值最大化意味着要启用许多高级功能，其中一些功能已经在防火墙中使用了多年，但是由于各种原因没有启用。

加入网络世界社区足球竞猜app软件脸谱网和LinkedIn对最重要的话题发表评论。

Zeus Kerravala是ZK Research的创始人和首席分析师。

工资调查:结果在